Dit artikel is bedoeld voor netwerkbeheerders bij bedrijven en onderwijsinstellingen.
Apple producten hebben voor diverse services toegang nodig tot de internethosts die in dit artikel worden vermeld. Hoe uw apparaten verbinding maken met hosts en werken met proxies:
- De netwerkverbindingen met de onderstaande hosts worden geïnitieerd door het apparaat, niet door de hosts die door Apple worden beheerd.
- Apple services staan geen verbinding toe als deze gebruikmaakt van HTTPS-interceptie (SSL-inspectie). Als het HTTPS-verkeer door een webproxy gaat, moet u HTTPS-interceptie uitschakelen voor de hosts die in dit artikel worden vermeld.
Controleer of uw Apple apparaten toegang hebben tot de hieronder vermelde hosts.
Apple pushberichten
Lees hier hoe u problemen oplost wanneer u verbinding wilt maken met de Apple Push Notification-service (APNs). Voor apparaten die al het verkeer via een HTTP-proxy sturen, kunt u de proxy handmatig op het apparaat of met behulp van een configuratieprofiel configureren. Verbindingen met de APNs komen niet tot stand als een apparaat via een proxy auto-config-bestand (PAC) is geconfigureerd voor gebruik van de HTTP-proxy.
Configuratie van het apparaat
Bij de configuratie van uw apparaat is mogelijk toegang vereist tot de volgende hosts. Toegang tot deze hosts is ook nodig wanneer u het besturingssysteem installeert, bijwerkt of herstelt.
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS en macOS | Ja | |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS en macOS | Validatie van de internetverbinding voor netwerken die gebruikmaken van afvangportals. | Ja |
| gs.apple.com | 443 | TCP | iOS, tvOS en macOS | Ja | |
| time-ios.apple.com | 123 | UDP | Alleen iOS | Wordt gebruikt door apparaten om de datum en tijd in te stellen | Nee |
| time.apple.com | 123 | UDP | iOS, tvOS en macOS | Wordt gebruikt door apparaten om de datum en tijd in te stellen | Nee |
| time-macos.apple.com | 123 | UDP | Alleen macOS | Wordt gebruikt door apparaten om de datum en tijd in te stellen | Nee |
Apparaatbeheer
Netwerktoegang tot de volgende hosts is mogelijk vereist voor apparaten die zijn ingeschreven voor Mobile Device Management (MDM):
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS en macOS | Pushberichten | Meer informatie over APNs en proxy's. |
| gdmf.apple.com | 443 | TCP | iOS, tvOS en macOS | MDM-server waarmee u kunt vaststellen welke software-updates beschikbaar zijn voor apparaten die gebruikmaken van beheerde software-updates. | Ja |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS en macOS | Voorlopige inschrijving voor DEP. | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS en macOS | — | |
| identity.apple.com | 443 | TCP | iOS, tvOS en macOS | APNs-certificaataanvraagportal. | Ja |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS en macOS | Gebruikt voor het hosten van inschrijvingsprofielen die worden gebruikt wanneer apparaten via Device Enrollment worden ingeschreven voor Apple School Manager of Apple Business Manager | Ja |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS en macOS | MDM-servers voor het uploaden van inschrijvingsprofielen die worden gebruikt door clients die worden ingeschreven voor Apple School Manager of Apple Business Manager via Device Enrollment. Worden ook gebruikt voor het opzoeken van apparaten en accounts. | Ja |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS en macOS | MDM-servers voor het uitvoeren van bewerkingen met betrekking tot apps en boeken, zoals het toewijzen of intrekken van licenties op een apparaat. | Ja |
Software-updates
Zorg dat toegang tot de volgende poorten beschikbaar is voor het bijwerken van macOS en apps uit de Mac App Store, en voor het gebruik van materiaalcaching.
macOS, iOS en tvOS
Netwerktoegang tot de volgende hostnamen is vereist voor het installeren, herstellen en bijwerken van macOS, iOS en tvOS:
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Alleen iOS | iOS-updates | Nee |
| gg.apple.com | 443, 80 | TCP | Alleen macOS | macOS-updates | Ja |
| gnf-mdn.apple.com | 443 | TCP | Alleen macOS | macOS-updates | Ja |
| gnf-mr.apple.com | 443 | TCP | Alleen macOS | macOS-updates | Ja |
| gs.apple.com | 443, 80 | TCP | Alleen macOS | macOS-updates | Ja |
| ig.apple.com | 443 | TCP | Alleen macOS | macOS-updates | Ja |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS en macOS | Gebruikt voor het hosten van catalogi van software-updates | Nee |
| ns.itunes.apple.com | 443 | TCP | Alleen iOS | Ja | |
| oscdn.apple.com | 443, 80 | TCP | Alleen macOS | macOS Recovery | Nee |
| osrecovery.apple.com | 443, 80 | TCP | Alleen macOS | macOS Recovery | Nee |
| skl.apple.com | 443 | TCP | Alleen macOS | macOS-updates | — |
| swcdn.apple.com | 80 | TCP | Alleen macOS | macOS-updates | Nee |
| swdist.apple.com | 443 | TCP | Alleen macOS | macOS-updates | Nee |
| swdownload.apple.com | 443, 80 | TCP | Alleen macOS | macOS-updates | Ja |
| swpost.apple.com | 80 | TCP | Alleen macOS | macOS-updates | Ja |
| swscan.apple.com | 443 | TCP | Alleen macOS | macOS-updates | Nee |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS en macOS | Nee | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS en macOS | Nee | |
| xp.apple.com | 443 | TCP | iOS, tvOS en macOS | Ja |
App Store
Toegang tot de volgende hosts is mogelijk vereist voor het bijwerken van apps:
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS en macOS | Store-materiaal, zoals apps, boeken en muziek | Ja |
| *.apps.apple.com | 443 | TCP | iOS, tvOS en macOS | Store-materiaal, zoals apps, boeken en muziek | Ja |
| *.mzstatic.com | 443 | TCP | iOS, tvOS en macOS | Store-materiaal, zoals apps, boeken en muziek | — |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS en macOS | Ja | |
| ppq.apple.com | 443 | TCP | iOS, tvOS en macOS | Validatie van bedrijfsapps | — |
Materiaalcaching
Toegang tot de volgende hosts is vereist voor een Mac met macOS die gebruikmaakt van materiaalcaching:
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Alleen macOS | Materiaalcaching voor serverregistratie | Ja |
App-notarisatie
Vanaf macOS 10.14.5 wordt software gecontroleerd op notarisatie voordat de software wordt uitgevoerd. Om deze controle succesvol te doorstaan, moet een Mac toegang hebben tot de servers die worden vermeld in het gedeelte 'Ensure Your Build Server Has Network Access' van Customizing the Notarization Workflow:
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Alleen macOS | Ticketafgifte | — |
| 17.250.64.0/18 | 443 | TCP | Alleen macOS | Ticketafgifte | — |
| 17.248.192.0/19 | 443 | TCP | Alleen macOS | Ticketafgifte | — |
Validatie van certificaten
Apple apparaten moeten verbinding kunnen maken met de volgende hosts om de digitale certificaten die door de bovengenoemde hosts worden gebruikt, te kunnen valideren:
| Hosts | Poorten | Protocol | OS | Beschrijving | Ondersteunt proxy's |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| crl.entrust.net | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| crl3.digicert.com | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| crl4.digicert.com | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| ocsp.apple.com | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS en macOS | Validatie van certificaten | — |
Firewalls
Als uw firewall het gebruik van hostnamen ondersteunt, kunt u waarschijnlijk de meeste van de hierboven vermelde Apple services gebruiken als u uitgaande verbindingen naar *.apple.com toestaat. Als uw firewall alleen met IP-adressen kan worden geconfigureerd, kunt u uitgaande verbindingen naar 17.0.0.0/8 toestaan. Het gehele 17.0.0.0/8-adresblok wordt aan Apple toegewezen.
HTTP-proxy
U kunt Apple services via een proxy gebruiken als u pakketcontrole en authenticatie voor verkeer naar en van de vermelde hosts uitschakelt. Zie hierboven voor uitzonderingen hierop. Pogingen om de inhoud te controleren van gecodeerde communicatie tussen Apple apparaten en services leiden tot het verbreken van de verbinding, om de platformbeveiliging en privacy van de gebruiker te waarborgen.
- Hier vindt u een lijst van TCP- en UDP-poorten die door Apple softwareproducten worden gebruikt.
- Bekijk hier welke poorten worden gebruikt door Profielbeheer in macOS Server.
- Meer informatie over macOS, iOS en iTunes-server-hostverbindingen en achtergrondprocessen in iTunes.
- Customizing the Notarization Workflow.